§ 45. Hochrisikolieferanten
(1) Die Bundesministerin für Landwirtschaft, Regionen und Tourismus kann aus Gründen der nationalen Sicherheit Hersteller von Komponenten eines Netzes für elektronische Kommunikation oder Bereitsteller von Dienstleistungen für solche Netze, jeweils mit Ausnahme von Netzen für Rundfunk im Sinne des BVG-Rundfunk, mit Bescheid als Hochrisikolieferanten einstufen.
(2) Hochrisikolieferant im Sinne des Abs. 1 ist jemand, von dem davon auszugehen ist, dass er mit hoher Wahrscheinlichkeit die für ihn in der Europäischen Union geltenden einschlägigen Normen, insbesondere im Bereich der Informationssicherheit und des Datenschutzes, nicht oder nicht ständig einzuhalten in der Lage ist.
(3) Bei der Beurteilung der Einstufung nach Abs. 1 sind insbesondere folgende Kriterien heranzuziehen, soweit diese geeignet sind, auf ein in Abs. 2 beschriebenes Verhalten hinzuführen:
1. Mängel in der Qualität der Produkte (einschließlich RAN, Core-Networks und Managed Services) sowie Cybersicherheitspraktiken des Herstellers, insbesondere ein zu geringes Ausmaß an Kontrolle über die eigene Zulieferkette oder eine unzureichende Beachtung einschlägiger Sicherheitspraktiken nach dem Stand der Technik, einschließlich der Berücksichtigung von Schutzzielen der Informationssicherheit (Vertraulichkeit, Verfügbarkeit und Integrität) bei allen bereitgestellten Produkten und Dienstleistungen;
2. das Fehlen entweder von Sicherheits- oder Datenschutzübereinkommen zwischen der Europäischen Union und dem Sitzstaat des Lieferanten, sofern es sich dabei um einen Drittstaat handelt, oder von Erklärungen der Lieferanten, die spezifische und verbindliche schriftliche Bestimmungen enthalten, die die Lieferanten verpflichten, technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass Benutzerdaten rechtswidrig weder in Länder außerhalb der Europäischen Union übertragen werden noch direkt oder indirekt von den Organisationen, Institutionen oder Behörden dieser Länder erhalten werden können;
3. ein unzureichendes Ausmaß der Fähigkeit des Herstellers zur Gewährleistung einer durchgängigen Versorgung.
(4) Vor ihrer Entscheidung hat die Bundesministerin für Landwirtschaft, Regionen und Tourismus den „Fachbeirat für Sicherheit in elektronischen Kommunikationsnetzen“ (Abs. 7) mit der Angelegenheit zu befassen und ein Gutachten jedenfalls für das Vorliegen der in Abs. 3 genannten Sachverhalte zu beauftragen (§ 52 AVG). Der Fachbeirat hat sein Gutachten tunlichst binnen zwölf Wochen nach Befassung zu erstatten. Die Bundesministerin für Landwirtschaft, Regionen und Tourismus hat das Gutachten im Ermittlungsverfahren zu berücksichtigen.
(5) Soweit dies für die Abwehr der in Abs. 2 beschriebenen Gefahr ausreichend ist, hat die Bundesministerin für Landwirtschaft, Regionen und Tourismus in ihrer Entscheidung gemäß Abs. 1 auszusprechen, dass
1. die Einstufung als Hochrisikolieferant auf bestimmte sicherheitsrelevante Geschäftsbereiche, Waren- oder Dienstleistungsgruppen oder einzelne Hardware- oder Softwarekomponenten sowie gegebenenfalls auf einen bestimmten Zeitraum oder ein bestimmtes geografisches Gebiet beschränkt wird;
2. ein Hersteller von der Lieferung sicherheitsrelevanter Komponenten oder Netzbestandteile für Netze im Sinne des Abs. 1 für sämtliche oder einzelne dieser Komponenten ausgeschlossen wird oder
3. ein Dienstleister von der Bereitstellung sicherheitsrelevanter Dienstleistungen für Netze im Sinne des Abs. 1 für sämtliche oder einzelne dieser Dienstleistungen ausgeschlossen wird.
Jeder Bescheid gemäß Abs. 1 ist auf eine Dauer von maximal zwei Jahren zu befristen.
(6) Eine Abschrift des Bescheids ist der RTR-GmbH, Fachbereich Telekommunikation und Post, zu übermitteln. Eine Abschrift des Bescheides ist der Datenschutzbehörde zu übermitteln, falls Angelegenheiten des Datenschutzes darin angesprochen sind. Die RTR-GmbH veröffentlicht den Spruch des Bescheides und unter Wahrung von Betriebs- und Geschäftsgeheimnissen dessen wesentliche Begründung.
(7) Bei der RTR-GmbH wird ein „Fachbeirat für Sicherheit in elektronischen Kommunikationsnetzen“ eingerichtet. Die RTR-GmbH übernimmt den Vorsitz im Fachbeirat, führt dessen Geschäfte und nimmt die Aufgaben einer Geschäftsstelle wahr.
(8) Die Aufgaben des Fachbeirates sind:
1. die Beratung der Bundesministerin für Landwirtschaft, Regionen und Tourismus zu allgemeinen Aspekten der Sicherheit für Netze der elektronischen Kommunikation und
2. die Erstellung von Gutachten in Verfahren zur Einstufung eines Herstellers von Netzkomponenten (Hardware und Software) als Hochrisikolieferant im Sinne des Abs. 4.
Zur Erfüllung der in Z 1 genannten Aufgabe hat der Fachbeirat, insbesondere die sicherheitstechnologische Entwicklung von Komponenten von Netzen für elektronische Kommunikation oder für Dienstleistungen für solche Netze in- und außerhalb der Europäischen Union laufend zu beobachten. Der Fachbeirat hat über seine Wahrnehmungen der Bundesministerin für Landwirtschaft, Regionen und Tourismus regelmäßig, jedoch mindestens einmal im Jahr zu berichten („Wahrnehmungsbericht“). Für die Erstellung eines Gutachtens gemäß Z 2 hat der Fachbeirat auch die Einhaltung allgemeiner rechtsstaatlicher Standards in den beobachteten Drittstaaten sowie die technischen und wirtschaftlichen Auswirkungen auf die in Österreich bestehenden Netze für elektronische Kommunikation und deren Betreiber bei seiner Einschätzung zu berücksichtigen.
(9) Der Fachbeirat besteht aus dem Vorsitzenden und zwölf Mitgliedern. Diese Mitglieder werden von der Bundesregierung jeweils für die Dauer von vier Jahren bestellt. Dabei hat die Bundesregierung auf Vorschläge von folgenden Organen oder Einrichtungen für jeweils ein Mitglied des Fachbeirates Bedacht zu nehmen: des Bundeskanzlers; der Bundesministerin für Landwirtschaft, Regionen und Tourismus; des Bundesministers für Inneres; des Bundesministers für europäische und internationale Angelegenheiten; der Bundesministerin für Digitales und Wirtschaftsstandort; der Bundesministerin für Landesverteidigung; des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz; der Wirtschaftskammer Österreich; der Bundeskammer für Arbeiter und Angestellte; der Vereinigung der österreichischen Industrie; des nationalen Computer-Notfallteams und der Austrian Institute of Technology GmbH. Die vom nationalen Computer-Notfallteam und der Austrian Institute of Technology GmbH vorgeschlagenen Mitglieder haben über einschlägige technische Kenntnisse auf dem Gebiet der Informationssicherheit zu verfügen. Eine Wiederbestellung ist zulässig. Scheidet ein Mitglied vorzeitig aus, ist durch die Bundesregierung ein neues Mitglied zu bestellen. Das Vorschlagsrecht für dieses Mitglied kommt demjenigen Organ oder derjenigen Einrichtung zu, das oder die das vorzeitig ausgeschiedene Mitglied vorgeschlagen hat. Die Bundesregierung hat ein Mitglied von seiner Funktion jedenfalls zu entheben,
1. wenn es dies beantragt;
2. wenn jene Stelle, auf deren Vorschlag das Mitglied bestellt wurde, die Enthebung beantragt;
3. wenn die Bestellungsanforderungen gemäß Abs. 10 nicht mehr gegeben sind oder im Zeitpunkt der Bestellung nicht gegeben waren.
(10) Der Vorsitzende und die Mitglieder des Fachbeirats dürfen in keinem Arbeits-, Gesellschafts- oder Mandatsverhältnis zu einem Hersteller von Komponenten oder Bereitsteller von Dienstleistungen für ein elektronisches Kommunikationsnetz oder zu einem Betreiber elektronischer Kommunikationsnetze oder Anbieter elektronischer Kommunikationsdienste stehen. Der Vorsitzende und die Mitglieder des Fachbeirates sind in ihrer Tätigkeit für den Fachbeirat gemäß Art. 20 Abs. 2 Z 1 B-VG weisungsfrei.
(11) Den Vorsitz im Fachbeirat führt der Geschäftsführer oder die Geschäftsführerin der RTR-GmbH, Fachbereich Telekommunikation und Post. In seinem oder ihrem Verhinderungsfall wird er oder sie von jenem Mitglied des Fachbeirates vertreten, das auf Vorschlag der Bundesministerin für Landwirtschaft, Tourismus und Regionen bestellt wurde. Der Fachbeirat ist beschlussfähig, wenn der oder die Vorsitzende und mindestens sechs weitere Mitglieder anwesend sind. Der Fachbeirat fasst seine Beschlüsse mit einfacher Mehrheit der abgegebenen Stimmen. Bei Stimmengleichheit gibt die Stimme des Vorsitzenden den Ausschlag. Beratungen und Beschlussfassungen im Umlaufweg oder mittels Telekommunikationsanlagen sind zulässig.
(12) Die Bundesministerin für Landwirtschaft, Regionen und Tourismus hat im Einvernehmen mit dem Bundeskanzler mit Verordnung eine Geschäftsordnung für den Fachbeirat zu erlassen. Die Fachbeiratsmitglieder haben Anspruch auf Ersatz der angemessenen Reisekosten und Barauslagen sowie auf ein von der Bundesministerin für Landwirtschaft, Regionen und Tourismus festzusetzendes Sitzungsgeld. Die für die Tätigkeit des Fachbeirats anfallenden Kosten trägt das Bundesministerium für Landwirtschaft, Regionen und Tourismus. Der Fachbeirat kann zu seinen Beratungen Auskunftspersonen beiziehen.
Datenquelle: RIS — https://www.ris.bka.gv.atGesamte Rechtsvorschrift (RIS)
Fundstelle(n):
zur Änderungshistorie
KAAAF-36674